Bankkonten abgeräumt

UMTS-Sicherheitslücke: Deutsche Bankkonten abgeräumt

UMTS-Sicherheitslücke: Deutsche Bankkonten abgeräumt

Bekannte Sicherheitslücken in UMTS-Netzen

Kriminelle Hacker haben in den letzten Monaten über eine zweistufige Angriffsstrategie mehrere Bankkonten abräumen können. Möglich wurde dies vor allem auch durch die Ausnutzung bekannter Sicherheitslücken im SS7-Protokoll der UMTS-Netze.

Zuerst wurden die Opfer üblicherweise via Phishing E-Mails auf gefälschte Bankseiten umgeleitet. Nachdem die Opfer Ihre Online-Banking Zugangsdaten fälschlicherweise dort preisgegeben hatten, konnten die Hacker die notwendigen, via SMS versandten mTANs, aufgrund der SS7-Sicherheitslücke, abfangen und selbst für die Transaktion auf dem realen Konto verwenden.

Welche deutschen Banken davon betroffen sind und wie hoch der gesamte Schaden ist, wurde noch nicht bekannt.

Anbei ein paar Tipps der Redaktion zum Website Online-Banking:

Wahrscheinlich oft gehört, aber in der Hektik schon mal schnell vergessen –

  • NIE auf E-Mails von der Bank mit Fragen zu den Online-Zugangsdaten reagieren – sofort löschen. (Die Bank verschickt normalerweise niemals E-Mails mit Fragen zu den persönlichen Zugangsdaten, falls ja, dann mit der Post)
  • Aktive und aktuell upgedatete Internet Security Software verwenden

Vor dem Aufruf der Bankenwebseite:

  • Rechner vor Malware nochmal scannen, oder dedizierten Rechner nur für das Online-Banking benutzen
  • Vertrauten Browser benutzen
  • Browser Cache vollständig löschen
  • Evtl. Privaten Modus aktivieren
  • Banking-Schutz aktivieren (bieten einige Internet Security Programme an – blockiert zusätzliche Internetverbindungen während Anmeldung und Transaktion = Schutz vor Man-in-the Middle Angriffen)
  • Das Wichtigste: Überprüfen Sie die URL der Bankenwebseite die Sie angesurft haben sehr genau. Also jedes einzelne Zeichen (evtl. die original URL vorher zum Vergleich einmal notieren). Jede kleinste Änderung (Bindestrich, Punkt, getrennte Worte, Nummern, fehlende https, etc..) ist entscheidend
  • mTAN via SMS ist super bequem, aber tatsächlich nicht sicher. Etwas sicherer ist das Chip-TAN Verfahren, bei dem ein externer Scanner benötigt wird, der aber meistens kostenpflichtig ist.

Stellungnahme des BSI

Zu den aktuellen Medienberichten über Schwachstellen im Mobilfunknetz und der damit verbundenen Möglichkeit, SMS-Nachrichten beim Online Banking abzufangen, erklärt BSI-Präsident Arne Schönbohm:

“Dem BSI sind Vorfälle im Zusammenhang mit Cyber-Angriffen auf das Mobilfunknetz bekannt. Als nationale Cyber-Sicherheitsbehörde sind wir dazu im vertrauensvollen Austausch mit den Mobilfunkbetreibern. Auf die Schwachstellen im SS7-Protokoll weisen wir schon seit einigen Jahren hin. Cyber-Angreifer verfügen heute über die notwendigen Mittel und das notwendige Knowhow, diese Schwachstellen auszunutzen, auch wenn es wie in diesem Fall einen gewissen Aufwand bedeutet. Wenn wir eine erfolgreiche Digitalisierung wollen, dann können wir es uns nicht leisten, dass Schwachstellen über längere Zeiträume offen bleiben. Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Auch in Bezug auf das Online Banking empfiehlt das BSI bereits seit längerem, auf den Einsatz von mTAN-Verfahren zu verzichten und stattdessen etwa Verfahren mit TAN-Generatoren zu nutzen. Wer unsere Empfehlungen zum Thema Online Banking beherzigt, die wir auf unserer Webseite “BSI für Bürger” veröffentlicht haben, der hat einen großen Schritt zu mehr Sicherheit in der digitalen Welt gemacht.”

Das SS7-Protokoll wird von den Netzanbietern unter anderem dafür verwendet, sich mit anderen Anbietern auszutauschen, beispielsweise im Rahmen des Roamings. Mit dem Protokoll kann ein Mobilfunkbetreiber eines Landes signalisieren, dass sich ein bestimmter Teilnehmer gerade in seinem Netzwerk befindet. Akzeptiert der Mobilfunkbetreiber des Nutzers diese Nachricht, werden fortan Anrufe, SMS, und Datenverkehr an das neue Netzwerk ("Visited Network") geroutet. Angreifer mit Zugang zur SS7-Signalisierung können also ohne weiteres den Umstand simulieren, dass sich ein bestimmter Teilnehmer in dem jeweiligen Netzwerk befindet und ggf. den Traffic auf sich lenken. Auch ist es möglich, über SS7 den aktuellen Standort (CellID) eines Teilnehmers zu ermitteln.

Kommentar von Oliver Keizers, Regional Director DACH des Security-Spezialisten Fidelis Cybersecurity:

"So spektakulär die jetzt offiziell bekannt gewordene Betrugsserie ist, so wahrscheinlich ist es, dass sie erst die Spitze des Eisberges bildet. Denn die drei Jahre, die die Schwachstelle im SS7-Protokoll bekannt ist, hat Cyberkriminellen viel Zeit verschafft, sich auf die Angriffe in die Endgeräte von Bankkunden vorzubereiten. Erfolgreich durchgeführte, bisher aber ungenutzte Phishing Angriffe auf die Bankdaten von Kunden können somit erfolgreich zu Ende gefischt werden. Damit ist das mTAN Verfahren nicht mehr als sicher anzusehen, solange der Transportweg darunter nicht sicher ist.

Oliver Keizers, Regional Director DACH, Fidelis Cybersecurity

Wann und wie Cyberkriminelle zuschlagen werden, steht in den Sternen – dass sie zuschlagen, ist allerdings höchst wahrscheinlich. So sagte Raimund Röseler, Chef der Bafin-Bankenaufsicht, dass es vor kurzem Mitarbeitern einer Bank gelungen sei, einen sehr großen Betrag ‘ins Nirwana’ zu überweisen, ohne dass die IT diesen Vorgang blockiert habe. Vertrauensbildung bei Kunden geht anders.

Der Fall zeigt deutlich, dass auch bei vermeintlich hohen Sicherheitsstandards, wie sie bei Banken vorherrschen, nicht von absoluter Sicherheit ausgegangen werden kann. Versierte Angreifer, die vielleicht keinen Weg direkt in die Bankensysteme bisher gefunden haben, nehmen sich nun andere Angriffsvektoren vor und setzen so den digitalen Bankraub um. Er zeigt aber auch, dass Unternehmen, die sich in Sicherheit wiegen, weil sie ja eine Firewall, Virenscanner, Proxy o.ä. haben, dies fälschlich tun. Sicherheit in der IT ist ein jeden Tag hart erkämpftes Feld und die Unterlassung von bestmöglichen Schutzmaßnahmen oder der Weg des geringsten Aufwandes sind fatal.

Man wünscht sich fast, dass die Professionalität und der Grad der Organisierung der Cybercrime-Szene auch auf Unternehmen allgemein abfärbt. Dort scheint es allerdings weiterhin Usus, sich vor allem auf Lösungen zu verlassen, die den ein- und ausgehenden Netzwerkverkehr kontrollieren. Die interne IT-Infrastruktur, in der unter Umständen seit Jahren Schwachstellen vorhanden sind, um die die Cyberkriminellen wissen, und in der sich ‘Schläfer’ verborgen halten, bleibt häufig nur lässlich kontrolliert.

Wer eine IT-Infrastruktur absichern will, kommt nicht umhin, die internen Netzwerkaktivitäten akribisch zu beobachten und so zu dokumentieren, dass sich deren Historie lückenlos nachvollziehen lässt. Nur so lassen sich verdächtige Prozesse identifizieren und Rückschlüsse auf vorhandene und ausgenutzte Sicherheitslücken ziehen. Nur wer über die Informationen zu Protokollen, Objekten, Quellen und Zielen, Datenverkehrsmustern, Aktivitäts-Peaks oder differenten Paketgrößen innerhalb des gesamten Netzwerk-Traffics verfügt, schafft eine gute Basis, Attacken zu verhindern oder zumindest frühzeitig zu erkennen."

written by Andreas Belkner